Покажи Публикации - rvladimirov
* Виж публикациите на потр. | Виж темите на потр. | Виж прикачените файлове на потр
Страници: [1]
1  Нетехнически теми / Идеи и мнения / Re: Odoo/OpenERP - Едно много добро и гъвкаво решение! -: Oct 05, 2017, 16:02
Повече от година odoo е адаптирано и работи много добре в съответствие с изискванията на българските закони,за съжаление не остава време да се адаптират дневниците за покупките и продажбите към csv формата, другата причина, е че има директива , която изисква уеднаквяване на форматите за експорт, но уви никой не я прилага у нас. Европейския стандарт е имплементиран в odoo.8-ма версия на odoo е много развита, има си своите бъгове, но те се отстраняват постоянно. Достатъчно гъвкаво решение конкуриращо се на лидерите в областта вижан и сап, в много от случаите ги превъзхожда. Инсталацията е трудоемка работа и не е по силите на сам човек без познания в линукс. Стандартната инсталация е ограничена и е само основа за разширяване. А версията за уиндоус е трагедия, поради факта, че голяма част от енжина на питон не работи с хардуерното ниво на уиндоус. Оценка за функционалността от демо инсталация не може да се направи.
2  Сигурност / Системна Сигурност / Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) -: Sep 30, 2017, 12:02
РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
от 27 април 2016 година
относно защитата на физическите лица

Закон уреждаш правила за информацията събирана за "човеци".
Цитирате превода на термина  буkвален смисъл, но там има превод за преносен смисъл, или по точно в контекста на изречението свързано с човеци:
II. n чувствителен човек; човек, податлив на хипноза.
Ясно и точно е преведено в официалния документ като чуствителни данни.
Дискусията не е за познания по английски, а за методи за изпълнение на директивите на горепосочения регламент.
Чета подобни статии и се дразня от тълкуването му.
Регламента е за всички начини на пренос на информация, чрез дигитални или хартиени носители.
ЕГН, Трите имена, Адреса сами по себе си не са "чуствителни данни", съхранени на някъв носител заедно, водят до интендификация на "човека", а от там задействане на неговото "чуство" за параноя.
Така, че ако правиш база данни с информация на "човеци" е необходимо, първо да криптираш възлови полета или всички полета, да разпечатваш документи с псевдонимизацирани индетификационни номера (ЕГН-псевдонимизация), град-псевдонимизация, останалото няма нужда.
псевдонимизация е индивидуално решение на всеки администратор, т.е. ако някой чете трудовият ти договор попаднал случайно няма да разбере кой си и къде живееш, защото с едно също име има много "човеци", улици с еднакви имена достатъчно много.
Дискусията е за предлагане на решения на казусите, създадени от регламента.
Прозрачност на псевдонимизация или криптацията, за мен значи, че не може да използваш коректор за да заличиш егн-то, и после с химикал да напишеш върху него новия индефикационен номер, защото не знаеш как е направен коректора и дали няма да пропусне някъкъв вид светлина, чрез която да разчетеш ЕГН-то. Същото се отнася и за инструментите за криптация, те трябва да са прозрачни, т.е. да са с отворен код за да могат да бъдат проверени.
Замислете се над тези казуси, а не дали можем да четем чужди езици.
Търся помощ за настройка на дистанционен достъп до pgp ключевете, както и продавач от България на openPGP смарт карти.
3  Сигурност / Системна Сигурност / Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) -: Sep 27, 2017, 22:05
официален документ не откривам никъде подобни понятия - http://eur-lex.europa.eu/legal-content/BG/TXT/?uri=CELEX:32016R0679
4  Сигурност / Системна Сигурност / Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) -: Sep 24, 2017, 10:07
Има разлика в понятията чуствителни и конфединциални данни. Чуствителни данни са тези, който чрез оповестяването им могат да ти навредят на емоционалното ти състояние. Конфединциални данни са тези който могат да те локализират физически.
Превода е точен, правете разлика.
5  Сигурност / Системна Сигурност / Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) -: Sep 23, 2017, 19:28
За решаването на даден проблем трябва първо да се изясни от какво се поражда. Проблемът с чувствителните лични данни е в няколко аспекта:
1. Какво са чувствителни лични данни -  това е информация запазена под каквато и да е форма, чрез която може да се идентифицира дадения субект лице. Какво би означавало това: Проблемът е създаден от държавната администрация със същата тази цел, т.е. надеждно идентифициране, а сега в съвременния глобален свят, където границите са на практика само за държавните администрации, а не за личностите. В тази връзка ЕГН е основен източник за идентификация + трите имена и вече имаме чуствителни лични данни, ако добавим и адрес с пощенски код Град.  ,
Извод: Чувствителни данни са данните от личната ти карта, техните копия под каквато и да е форма, настоящият ти адрес. Обвързаност с други хора, здравословно състояние, политическа принадлежност и др.
Как да защитим личните данни. Трябва да се разкъса връзката между различните детайли от информацията.
Решения: криптиране на ЕГН, имена или пощенски код и град, останалите полета не са достатъчни за идентифициране.
Проблеми: Индексното търсене в криптирани полета е трудно или невъзможно. Опасност от ненадежно криптиране - при странична атака на криптиращите физически устройсва може да доведе до загуба на информация т.е. криптиране с невъзможност за възстановяване. Това е сериозен проблем при асинхронно съхранение на информация. Друг проблем е съхраняването на информацията, заедно с инструмента за обработка, т.е. изпълнителната част на програмата и база с данни на едно физическо място. Евентуално при тази конфугурация може да се открадне физическата машина и това на практика обезсмисля криптирането и хеширането. Ключодържателите са добро решение, но трябва да са съхранени на "добро" място, евентуално в карта. Друг основен проблем е загубата на ключовете за криптиране, ако това се случи това ще е загуба на пълната информация.
Какво трябва да се защити: Първо данните, може би криптация на целият диск с базата данни или криптиране на отделни колони с функции ползващи pgp криптация с ключове и ид-ве за криптиране/декриптиране.
Пътят до данните: повечето случаи достъпа на инструмента до базите става по някой от интернет протоколи или през сокет. Обикновено се прави с потребител, ползван от инструмента за вход в базата. Примерите са много в българския софтуер. Имаш възможност да манипулираш която си искаш база данни без инструмента, който го прави. Рядко се срещат свързвания с бази данни през криптирани протоколи.
Инструмента: Обиновенно това е приложение разчитащо на затворена библиотека с неясни действия вътре в нея, при тази ситуация много ясно в регламента е казано, че се наказва организацията ползвател на този инструмент/библиотека, това е доста сериозно предизвикателство за разработчиците, те трябва да гарантират по някъв начин, че използват напълно прозрачен инструмент. openPGP, openSSL е добро решение.
Последният и немаловажен проблем е: Възможноста по искане на субектите да се заличи информацията. Това в момента е най-сериозният проблем, защото при сегашния модел на изисквания на публичната администрация са изградени множество копия на лини данни под формата на хартиени носители, електронни копия, и множество електронни архиви  и прочие. С други думи като се започне от личната карта с милионите си копия някъде си до данни върху фактури и всякакви други бланки. Какво касае програмистите за горното, да му мислят умните глави. Принципно е необходимо да се раздели архивирането на лични данни и други данни, за да има възможност да се проследи и изстрие информацията.
За мен решение на част от проблемите е:
1. Уеб базиран инструмент с https надежно подписана страница.
2. Връзка с бази дании през ssl/tcl протокол.
3. Инструменти за дроп на сесии въз основа на отказан достъп.
4. Криптиране на полета с ид информация ЕНГ и прочие, и по скоро обединяване в единна таблица за да се използва маскиране с ИД
5. Архивиране на данни с чувствителна информация в некомпресиран вид и с криптация.
6. Използване на keystore инструменти за частния и публичния ключ.
7. Времево зависимо прекодиране с нов ключ и проверка.
Страници: [1]